|
9991病毒,病毒品种太多,有%System%\wbem\IRJIT.dll%System%\wbem\ocmor.dat%System%\nt.sys%System%\spted.dll%System%\IEHelper.dll%System%\wbem\rvs.exe%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\xiaran*.*%System%\res.exe %System%\up.dll%System%\Update.exe%System%\aclayer.dll%System%\aclayer.exe %System%\AdInstall.exe%ProgramFiles%\Common Files\comm\*.*%ProgramFiles%\Common Files\comm\AdInstall.exe%ProgramFiles%\Common Files\comm\install.exe%ProgramFiles%\Common Files\UPDAT\*.*%ProgramFiles%\Common Files\UPDAT\update.dat%ProgramFiles%\Common Files\UPDAT\update.exe%ProgramFiles%\Common Files\sand\*.* %ProgramFiles%\Common Files\sand\AdInstall.exe%ProgramFiles%\Common Files\sand\diskman.exe%ProgramFiles%\Common Files\Ssand\svr.dat%ProgramFiles%\Common Files\sand\updatesr.ini%ProgramFiles%\Common Files\san\*.* %ProgramFiles%\Common Files\SAN\AdInstall.exe%ProgramFiles%\Common Files\SAN\diskman.exe%ProgramFiles%\Common Files\SAN\svr.dat%ProgramFiles%\Common Files\SAN\updatesr.ini%ProgramFiles%\Common Files\UPD\*.*%ProgramFiles%\Common Files\Upd\update.dat%ProgramFiles%\Common Files\Upd\update.exe%ProgramFiles%\Common Files\UP\*.*%ProgramFiles%\CoolWebsite\QuickLink.dll%ProgramFiles%\CoolWebsite\uninst.exe%ProgramFiles%\qqhelper\index.txt%ProgramFiles%\qqhelper\uninstall.exe%ProgramFiles%\qqhelper\多多QQ表情.exe%System%\MMSASS~1\MMSASS~1.DLL%System%\stdup.dll%System%\update.dll%System%\STDSVER.DLL%System%\stdcache\*.*C:\WINDOWS\Winsys.exe,(参见杀毒技术公司symantec.com相关专页 http://securityresponse.symantec.com/avcenter/venc/data/backdoor.cvm.html)其它还有无法确定,不定时加载,隐藏于explorer.exe进程中,设置起始页为www.9991.com,在访问列表中添加www.9991.com www.999x.com www.7mp3.com,之后每隔三分钟监测一次起始页,一旦发现起始页被修复,便停止活动进入潜伏状态。我用过各种方法,用不久就死灰复燃,用google查过,大概几十种广告软件和很多流氓网站都绑定了9991。来源很多,不知不觉就中了。相关站点还有51.com 6781.com 等。综上,无法删除,删了也会很快复发,只有屏蔽了。最后通过编辑本机hosts文件永久屏蔽9991.com,这下终于清静了。可以在开始-运行中输入notepad.exe %windir%\system32\drivers\etc\hosts然后在里面加入 127.0.0.1 www.9991.com127.0.0.1 www.51.com127.0.0.1 www.999x.com127.0.0.1 www.7mp3.comzt 谈9991.com的勃起又一家网址站杀了出来。之所以说它是勃起,那是因为它确实就是勃起的,要强奸网民的浏览器也必然需要勃起。我应该是在两个月前认识9991的,认识的原因是它强奸了室友的浏览器。我们试用了n多种方法也没有将其留下的木马彻底清除。此木马生命力极强,往往好像是把它删掉了,但过了几天又突然复活。当时这个网站特别是这个木马引起了我极大的兴趣。我通过QQ向9991的某工作人员透露我有买下这个木马的意思。聊天记录如下:我:你们锁定首页的代码是否出售9991:您好,我现在有事不在,一会儿再和您联系9991:出售我:我想看一下演示 我自己还没中过9991:首页 5000 每月9991:啊?中什么?我:我说的是你们强行修改首页的代码我:你们的代码很强 我想买9991:哦 我们也有所闻,但是我们推广都是外包的9991:您需要联系我们外包的公司我:能给联系方式吗9991:这个暂时是保密的我:能透露一下外包用了多少钱么9991:呵呵 大约360万吧我:不可能吧9991:我也觉得不可能,网络这东西 不就是 烧钱吗当时9991的网页日ip应该在200万左右,alexa三种走势图里线条均一路上扬。而在8月中旬以前,此站还是没有统计数据的。不得不感叹,9991的推广实在是强。而且我多次浏览9991首页,没有任何浏览器被强奸的迹象,木马肯定是挂在别的网站上,而且可能是挂在几个知名的大站,才能引来这么大的流量。大概一个月以前,9991首页上曾出了一条公告,当时没有记录下来,现在仅回忆出大概意思:我们9991的推广工作是交给其他几个网站的,这几个网站为了自己的利益可能修改了用户的首页,9991在此道歉,并提供解锁首页的方法。“请将您的情况详细描述,发邮件给我们。我们的技术人员将在一个工作日内回复邮件。电子邮件: 9991ANGEL#163.com,注意发邮件时请将#改为@符号”。9991如果真不知情,如果真想真诚道歉,那么他应该把解锁的方法提供出来,而不是叫写邮件去索取。稍微在行的人一眼就能看出来这里面有什么猫腻,9991这个强奸犯好像在说,“哎呀,我不是故意强奸你的。”9991 的页面布局确实比较清爽,但与网上现存的网址站并无太大区别,只是颜色风格上的改变而已。关键是它称自己为生活网。其“生活网理论”的核心是其有一套标题为“同城生活咨讯”的系统。我们来看看这套系统吧,一看就知道是用淘宝程序改的。真是难以想象,一个号称拿360万来做推广的网站居然连最重要的系统程序都不是自己开发,怪哉怪哉。写这篇文章的时候,我的浏览器也打开着9991。首页顶端赫然写着“9991.com是绿色安全网站,多家媒体宣传、推荐,点此查看...”,我觉得这简直是无耻至极。点开一看,其称在《电脑报》《环球时报》《北京晨报》《网易》《搜狐》《新浪》等媒体上都有做过广告。我好久没买报纸了,无从考证9991是否做过纸媒广告,但凭我的理智来看,其在三大门户做广告的说法简直是天方夜谭。我估计他给出的几张广告截图,关于9991广告的部分是自己贴上去的,覆盖了人家本来显示着的广告。搜狐广告更离谱,点开看一看就知道了,我至今不知道这张图是改自的哪个页面。真正在纸媒上做过宣传的网址站我记得好像有da123,这都是2003年底的事了。现在da123的alexa排名在2000多,比起9991两个月就创造出的当日排名200名左右的记录,真是不服老都不行。9991.com是绿色安全网站?笑话!如果它真是绿色安全网站我们会看到他吗?网址站多如牛毛你9991为什么就让那么多人看到你了而没看到别的站?所谓绿色安全网站,顶多是说站内没有恶意代码,挂在其他站上的可能性是很大的。都说后来的网址站是垃圾站,9991简直是让我们看到了从垃圾堆里钻出来的极品。不管是否真实,他至少向我们透露了两个秘诀,网址站(“网址站”三个字也可替换做别的站)要出名,一要有钱,二要会玩木马玩病毒。有这两点,做一个流量大的网站指日可待。另外,用恶意代码提高流量姑且可以原谅,用了恶意代码还一个劲抵赖,制造种种谎言愚弄大众,简直该死。
|
